Wir hören oft „Bei mir ist alles in Ordnung mit der IT-Sicherheit, ich habe ein Antivirenprogramm und eine Firewall, da ist alles sauber!“ Vielen ist bekannt, dass wir unsere Rechner mit Antiviren-Programmen und einer Firewall schützen sollten, damit ist vermeintlich das Wichtigste getan und wir können uns entspannt in Sicherheit wiegen, denn wir haben der sicherheitstechnischen Prävention Genüge getan. Doch ist dieser Ansatz noch aktuell bzw. richtig?
Zunächst aber mehr über die Begrifflichkeiten von Informationssicherheit sowie deren aktuelle Bedeutung für Unternehmen angesprochen werden.
Begriffsdefinitionen
Laut ISO 27000, in unseren Breiten einer der bedeutendsten Standards in diesem Bereich, dreht sich das Thema Informationssicherheit im Kern um „Aufrechterhalten der Vertraulichkeit, Integrität und Verfügbarkeit von Informationen“.
Vertraulichkeit bedeutet, für Mechanismen zu sorgen, die unautorisierten Zugriff auf Informationen von irgendwie gearteten Individuen und Prozessen verhindern. Unter Integrität wird die Richtigkeit und Vollständigkeit von Informationen verstanden, was das Verhindern unberechtigter Modifikation sowie die Erkennung und Nachvollziehbarkeit berechtigter Modifikation impliziert.
Verfügbarkeit bedeutet, Sorge zu tragen, dass der autorisierte Zugriff auf Informationen im Bedarfsfall uneingeschränkt möglich ist.
Zuletzt versteht man unter Informationen Vermögenswerte, die wertvoll bzw. geschäftskritisch für Unternehmen bzw. Organisationen sind, sodass sie in geeigneter Weise geschützt werden müssen. Dies ergibt sich aus dem Umstand der stetig stark steigenden Vernetzung und zunehmend umfassenden Nutzung von IT im und für den täglichen Geschäftsbetrieb, was die Abhängigkeit von diesen Ressourcen stark steigen lässt und ohne entsprechende Maßnahmen die Geschäftsrisiken erhöht.
Soweit also zur Begrifflichkeit, welche praktische Bedeutung hat das aber nun für uns?
Die Bedeutung funktionierender IT-Sicherheit
Da aktuell nahezu alle Unternehmen/Organisationen in ihren Geschäftstätigkeiten stark von korrekt funktionierenden und stabilen IT-Systemen abhängig sind und diese täglich nutzen, ist die Informationssicherheit ein Thema von geschäftskritischer Bedeutung. Aufgrund dieser Abhängigkeit können Ausfälle oder schädliche Manipulationen von IT-Systemen sehr schnell bedeuten, dass betroffene Unternehmen/Organisationen ihre Tätigkeit nicht mehr ausführen können, woraus meist innerhalb kürzester Zeit massive oder existenzbedrohende Schäden entstehen, die oftmals auch nachhaltig wirken.
Daher ist der Schutz von allen geschäftsrelevanten Informationen, z.B. personifizierte Daten, Kundendaten, E-Mails, eigene und fremde Buchhaltungs- bzw. Finanzdaten etc., selbstredend enorm wichtig.
IT-Systeme mit enthaltenen schützenswerten Firmendaten nach obiger Definition sind einer Vielzahl unterschiedlicher Bedrohungen ausgesetzt, zu denen z.B. Gefahren wie Schadsoftware, Hacking, Spionage, gezielte Angriffe, Phishing oder auch technische Systemausfälle, technische Fehler etc. zählen.
Das zunehmend breite Feld des Themas Informationssicherheit beschäftigt sich eben mit dem Schutz der Informationen eines Unternehmens vor angesprochenen Risiken für die Ermöglichung eines reibungslosen Geschäftsablaufs.
Bewusstsein für die Wichtigkeit von IT-Security schaffen
Das Bewusstsein zur Bedeutsamkeit der Informationssicherheit äußert sich zunehmend auch auf öffentlicher Seite:
Einerseits z.B. in den nationalen Sicherheitsinitiativen Österreichs, andererseits in der Tendenz, mittels Gesetzen und Regelungen im Rahmen der geschäftlichen Sorgfaltspflicht erweiterte Haftung für Versäumnisse und unzureichende Risikovorsorge in Bezug auf Datensicherheitsmaßnahmen nach durchaus zeitgemäßen Maßstäben einzusetzen, wie es z.B. in Deutschland stark zu beobachten ist.
Gleichzeitig erreichen uns zusehends häufiger immer neue Hiobs-Botschaften von gehackten Software- oder Hardwareprodukten, gestohlenen sensiblen Daten aus Webshops großer Anbieter oder div. erkannter Cyberspionageaktionen.
Wenn das großen, hochgradig technikaffinen Unternehmen passiert, haben wir als Klein- und Mittelbetriebe eigentlich eine Chance?
Wir sind im Rahmen unserer täglichen Arbeit am PC von einem Konglomerat unzähliger Hard- und Softwareprodukte ebenfalls unzähliger Hersteller umgeben, die mit immer zunehmender Komplexität aktiv Millionen von Codezeilen ausführen, um uns unsere Arbeit zu ermöglichen.
Wie kann man das sicherheitstechnisch im Griff haben?
Die Frage lässt sich wohl global weder zufriedenstellend noch pauschal beantworten. Betrachten wir grob die am häufigsten auftretenden Bedrohungsszenarien (nach Häufigkeit von oben nach unten sortiert – Quelle: Security Bilanz 2014 Deutschland):
- Befall durch Schadsoftware mittels Viren und Würmern (klassisch)
- Datenverlust durch Unachtsamkeit bzw. Fehlerverhalten von Mitarbeitern
- Unbefugter Zugang zu Systemen/Daten mittels Trojaner, gezielten oder wahllosen Hackerangriffen, Spyware, Advanced Persistent Threads (gezielte professionelle Angriffe)
- Systemausfälle durch Hardware- oder Softwarefehler (technische Fehler)
- Täuschung/Manipulation des Benutzers mittels Phishing und Social Engineering
(zwischenmenschliche Täuschung/Beeinflussung mit dem Ziel der Herausgabe bestimmter Informationen) - Lahmlegen der Internet-Infrastruktur mittels Denial of Service Attacken (gezielter Angriff oder mitgerissen)
- Interne Angriffe mittels Datendiebstahl oder Sabotage (sofern überhaupt bemerkt)
- Aushebelung der Zugangsbeschränkungen durch eigene Mitarbeiter (sofern bemerkt)
Auch wenn diese Liste der häufigsten Bedrohungsszenarien ein wenig technisch klingen mag, so zeigt sie doch sehr klar, dass unsere klassischen Präventionsmaßnahmen namens Antivirus und Firewall vorwiegend beim obersten Szenario wirklich wirksam unterstützen können.
Die meisten anderen Bedrohungen bedürfen anderer Maßnahmen, die Wichtigste haben jedoch alle gemeinsam:
Die Bewusstseinsschaffung aller Anwender
Kein Mechanismus kann diese Maßnahme ersetzen.
Im Rahmen der nationalen Sicherheitsinitiativen Österreichs wurde genau zu diesem Zweck eine sehr gute Plattform für alle Bürger geschaffen, deren Besuch ich Ihnen gerne nahelegen möchte: https://onlinesicherheit.gv.at
Darüber hinaus möchten wir Ihnen im Laufe des Jahres 2016 individuelle Beratung zum Thema Informationssicherheit für Ihre Anwendungsfälle zur Verfügung stellen – für mehr Bewusstsein und eine sicherere IT – Sie werden dazu von uns informiert.
Quellen:
Security Bilanz Deutschland 2014 (techconsult/BSI)
Studie zur Informationssicherheit in DACH 2015 (A-SIT/FH St.Pölten)